Uiterlijk 1 januari 2021 moeten vrijwel alle online kaartbetalingen in de EU met veilige tweestapsverificatie door kaarthouders worden goedgekeurd. Deze aanscherpte vorm van klantauthenticatie valt onder Strong Customer Authentication (SCA), een bepaling vanuit de nieuwe betaalrichtlijn PDS2. Alleen in zeer specifieke gevallen kunnen Europese kaartuitgevers daarvoor vrijstelling verlenen aan online ondernemers, bij individuele betalingen.
Het is binnenkort niet meer voldoende dat een kaarthouder een online creditkaartbetaling goedkeurt door het kaartnummer, de vervaldatum en het controlenummer op de creditkaart te verstrekken. De kaarthouder moet dan in beginsel iedere online kaartbetaling goedkeuren met een dubbele beveiliging van iets dat alleen hij of zij bezit (zoals een persoonlijke, uniek identificeerbare smartphone) met iets dat hij of zij alleen weet (zoals een geheime pincode) of met een uniek lichamelijk kenmerk (zoals een vingerafdruk).
Uitstel onder strikte voorwaarden
Formeel moeten alle soorten online betalingen in de EU sinds 14 september 2019 voldoen aan de technische standaarden voor sterke klantauthenticatie (strong customer authentication of SCA) van PSD2. Omdat op die datum nog veel schakels in de betaalketen voor online kaartbetalingen niet klaar waren met het invoeren van SCA, verlenen toezichthouders overal in de EU onder strikte voorwaarden [PSP’s, issuers en acquirers lezen hier welke strikte voorwaarden gehanteerd worden, red.] uitstel tot het einde van 2020. Dit moet eraan bijdragen dat vooral kaarthouders, winkeliers en ondernemers geen onbedoeld negatieve gevolgen ondervinden van de invoering van SCA.
Betaalvereniging coördineert SCA Migration Project
Voor een vlotte migratie van de Nederlandse markt naar SCA voor online kaartbetalingen, coördineert Betaalvereniging Nederland het SCA Migration Project voor kaartuitgevers (issuers), transactieverwerkers (acquirers) en betaaldienstverleners (payment service providers of PSP’s). “Het is in ieders belang dat het hele ecosysteem in deze migratie wordt meegenomen,” zegt Piet Mallekoote, directeur van Betaalvereniging Nederland. “Daarom zijn alle toonaangevende schakels in de betaalketen én eindgebruikers in het project vertegenwoordigd.”
Het migratieproject voorziet in overleg met andere belanghebbenden zoals vertegenwoordigers van webwinkels en consumenten, card schemes (zoals Mastercard, VISA en American Express) en De Nederlandsche Bank. Zo wordt iedereen op de hoogte gehouden van de SCA-ontwikkelingen in de betaalketen. Onbedoelde drempels voor webwinkels en hun klanten tijdens de invoering van SCA, kunnen zo beperkt worden.
Tegenover het kennis- en informatieplatform Internetkassa.nu legt directeur Piet Mallekoote van de Betaalvereniging uit wat webwinkeliers kunnen verwachten van het migratieproject, en wat ondernemers zelf kunnen doen om op tijd klaar te zijn voor online creditkaartbetalingen met SCA.
Waar staan we nu in Nederland?
Kaartuitgevers wijzen online kaartbetalingen zónder SCA nog niet systematisch af. Met een zogeheten soft decline wordt een verouderde SCA-loze betaling (legacy transaction) in de loop van 2020 steeds vaker afgewezen. In dat geval kan de webwinkelier de betaling alsnog mét SCA bij de issuer aanbieden.
In het eerste kwartaal van 2020 zal het SCA Migration Project bekendmaken wanneer Nederlandse issuers de ondersteuning van legacy transactions zullen afbouwen en soft decllines zullen invoeren. Webwinkels doen er verstandig aan om reeds klaar te zijn voor online kaartbetalingen met SCA, vóórdat issuers beginnen met soft declines. Hoe je daar als (online) ondernemer op kunt inspelen, lees je hier.
Gerelateerde publicaties:
- ’18 maanden uitstel op Strong Customer Authentication in UK’
- Stripe wapent zich met overname tegen invoering SCA
- “SCA en CSE zorgen voor een soepele creditbetaling in webshop”
- Hoe voorkom je afgewezen creditcard-betalingen in jouw webshop?
- Ecommerce Europe pleit voor (nieuw) uitstel Strong Customer Authentication (SCA)
- Wat is 3DS 2.0 en hoe draagt het bij aan SCA?